Devriez-vous accroître la sécurité de votre site WordPress ?

par Alexe

par Alexe

Partagez cet article
Share on facebook
Share on linkedin
Share on twitter
Share on pinterest
Share on email
Dans cet article
    Add a header to begin generating the table of contents

    La sécurité des sites Internet est devenue un enjeu majeur pour les entreprises. Malgré le fait que des précautions de base sont à prendre pour éviter d’être vulnérable au piratage et aux attaques, les sites web sont soumis à un risque.

    Si on prend le temps d’aborder ce sujet, c’est parce que nous avons dû agir dans de pareilles circonstances cette année. Alexem Studio a toujours porté une attention très particulière à la sécurité de ses sites web. Malheureusement, les types de piratages et les techniques employées sont de plus en plus divers et pernicieux. Ce qui veut dire que lorsqu’on est frappé, c’est une véritable course contre la montre pour cesser les dommages le plus rapidement possible. Alexem Studio peut vous aider à contre-attaquer et à limiter les dommages. Mais savez-vous quoi ? L’idéal, c’est la prévention ! Outre les étapes de base qu’on applique déjà, il existe des options à mettre en place pour faire office d’armures contre les attaques. On vous en parle pour mieux vous conscientiser et vous inviter à investir dans votre sécurité.

    Pourquoi sécuriser WordPress

    « Avec de grands pouvoirs viennent de grandes responsabilités »

    WordPress est le CMS (Content Management System ou Plateforme de gestion de contenu en français) le plus utilisé dans le monde (34 % des sites à l’échelle planétaire l’utilisent) ! Parallèlement, cette grande popularité fait aussi en sorte que chaque mois, c’est 1 million de sites WordPress qui sont victimes de piratage. On ne parle pas nécessairement d’attaques ayant une incidence extrêmement dramatique pour les entreprises : l’ampleur des dégâts peut aller de très faible à très grande (un peu comme un dégât d’eau !). Dans le meilleur des cas, le hack fera perdre quelques minutes ou quelques heures de travail à votre programmeur qui devra accéder / trouver / restaurer / nettoyer / le site. Dans le pire des cas, vous pourriez perdre des données ou les voir compromises.

    C’est quoi, se faire pirater ?

    WordPress est une option formidable aux possibilités infinies pour bâtir votre site web. Ceci étant dit, c’est cette même popularité qui rend les sites développés sur cette plateforme plus susceptibles d’être victimes de piratage (hack). WordPress et les nombreuses extensions qui s’y rattachent font à la fois sa force et sa faiblesse : ils permettent une grande flexibilité, mais ils sont en constante évolution. Alors que ça amène de belles nouveautés et des améliorations, ça donne également l’occasion aux logiciels malicieux de trouver une nouvelle faille, une porte d’entrée vers votre site, et ce chaque jour. Sans oublier que les différents types de menaces se multiplient.

    D’ailleurs, quand on parle de piratage, on ne parle pas seulement de l’action d’une seule personne mal intentionnée agissant contre vous spécifiquement… Et bien qu’il y ait des personnes à l’origine de tous les hacks, ils développent plutôt du code (bot(s) : programmes ou scripts) destiné à infiltrer et infecter des sites de manière automatisée. Une technique qui fait de gros dégâts est par exemple de cibler une extension très populaire, et de passer par une faiblesse de cette dernière pour pénétrer tous les sites (ou appareils) l’utilisant.

    Pourquoi les sites sont-ils attaqués ?

    On a donc établi que ce ne sont pas vraiment des attaques personnelles. Alors pourquoi sont-elles faites ? Selon Wordfence, voici quelques raisons :

    • Pour envoyer du spam via votre site et votre courriel de domaine
    • Pour héberger du contenu malicieux (drogue, pornographie) à l’abri des filtres.
    • Pour voler des données (courriels clients et mots de passe surtout, qui peuvent ensuite être réutilisées ailleurs — c’est pour ça que vos mots de passe doivent être uniques, mais on y reviendra)
    • Pour Spammer !

    Comment sécuriser WordPress ?

    Il existe plusieurs façons « de base » de sécuriser un site, et Alexem Studio les respecte avec rigueur. On ne prend rien à la légère, car on sait que les dommages peuvent être dramatiques pour des entreprises, et possiblement pour leurs clients, par extension. On veut aussi s’épargner du trouble évitable, disons-le !

    Voici quelques règles très importantes qu’on applique pour tous nos clients.

    1. Sauvegarder fréquemment

    Alexem Studio effectue la sauvegarde quotidienne de tous les sites créés et maintenus sur nos plans d’hébergement. Dans ce cas, si un problème survient et que, par exemple, le site est compromis ou des bouts en sont supprimés, on peut restaurer à une version précédente avant hack.

    2. Faire les mises à jour régulièrement

    On effectue les mises à jour de manière systématique. Autant les mises à jour WordPress que celles de ses extensions. Les nouvelles versions sont installées rapidement après leur publication. Au niveau serveur, notre hébergeur maintient également les systèmes (PHP et MySQL) à leurs dernières versions.

    C’est principalement quand une mise à jour n’est pas faite que les robots peuvent trouver des failles et profiter d’une faiblesse de sécurité pour attaque votre site. En effectuant des mises à jour régulièrement, on bloque des opportunités aux robots malicieux et on maintient votre site sécuritaire.

    3. Sécuriser les comptes administrateurs

    Ce qui veut dire… MOTS DE PASSE COMPLEXES ET DIFFÉRENTS ! Des applications existent pour générer des mots de passe uniques très complexes, et certaines sont disponibles à même votre navigateur. N’attendez plus et utilisez-les. Et ce conseil vaut tout autant pour votre compte administrateur WordPress que pour vos autres comptes en ligne. Sur le web, il ne faut plus rien prendre à la légère (les nombreuses cyberattaques sur de grandes compagnies que l’on connaît bien pourront vous le prouver !). Si un courriel associé à votre site et un mot de passe qui y ait aussi associé ont été leakées dans un vol de données, ce ne sera pas long que ces mêmes infos de connexion seront utilisées pour accéder à votre site contre votre gré.

    4. Utiliser seulement des extensions fiables, réputées, et entretenues régulièrement (premium).

    Alexem Studio porte une attention particulière au choix des modules et des fonctionnalités installés. Même si on ne peut garantir le futur, on considère ne pas prendre de risque inutile. En payant pour la version premium de ces logiciels pour votre site (appelés extensions), on s’assure également un suivi efficace et une mise à jour du développeur de l’extension dans les plus brefs délais si une vulnérabilité était détectée.

    Notez cependant que les extensions qui composent votre site peuvent à tout moment devenir vulnérables, même si elles ont été créées par des concepteurs fiables. De la même manière que votre frigo neuf LG peut vous lâcher du jour au lendemain (been there…)

    5. Installer une couche de sécurité supplémentaire via un plug-in de sécurité réputé

    De nombreux logiciels existent pour ajouter une protection sécuritaire à votre site web. Ils offrent plusieurs fonctionnalités pour accroître la sécurité de votre site contre les menaces connues. Ces extensions font une vigie constante, et bien que limitée dans leur version gratuite, elles pourront au moins nous alerter quand un problème se présente à l’horizon.

    Certaines ont des versions gratuites : WordFence, JetPack, All in One WP Security, Sucuri, Defender Pro etc.

    Attention cependant : ces logiciels font une partie du travail, mais pas tout, et lorsque quelque chose est détectées, des actions supplémentaires doivent être prises.

    Comment faire plus?

    Au-delà de ces bonnes pratiques, des attaques sournoises peuvent arriver. C’est pourquoi Alexem Studio offre maintenant un forfait premium de sécurité. Bien que les étapes présentées ci-haut continueront d’être prioritaires et effectuées avec rigueur, on considère que le Web de nos jours nécessite un niveau encore plus puissant de bloquant de piratage.

    Voici 2 nouveaux services — mesures de sécurité premium — qu’Alexem Studio vous recommande fortement. La première est un ensemble de mesures additionnelles à faire implémenter par votre concepteur web et la seconde se présente sous forme d’ajout à votre plan mensuel d’hébergement et maintenance. Les deux vont main dans la main !

    Forfait EXTRA sécurité

    1. Implémenter l’authentification HTTP sur la zone d’administration.
    2. Réviser les autorisations de fichier des répertoires et les limiter au maximum
    3. Modifier l’URL de connexion de WP

    Tel que recommandé par Astra Security

    Service mensuel EXTRA Protection + Garantie

    Alexem Studio offre le service Astra Security, qui fournit une protection constante et automatisée contre les attaques et une politique de désinfection après un incident. Vous obtiendrez ainsi une surveillance 24 h sur 24 h et une garantie d’avoir l’esprit tranquille. On s’occupe de la mise en place de A à Z : vous pourrez dormir sur vos 2 oreilles.

    Lorsqu’il est trop tard…

    Lorsque les mesures de sécurité ne sont pas toutes mises en place, des attaques peuvent survenir. Dans ce cas, on doit restaurer et tout désinfecter, au risque de perdre des données, des commandes et de briser des sections du site dans le processus.

    Ça peut représenter un nombre d’heures considérable de travail pour régler les problèmes et pour recréer ce qui a été brisé.

    Si votre site est hacké hors garantie, les coûts engendrés (en heures) pour la désinfection et le rétablissement de votre site à une version sécuritaire peuvent être grands. On parle de plusieurs centaines de dollars et plus dépendant de l’ampleur des dommages.

    Au final…

    Est-ce que vous devriez payer un petit montant mensuel pour éviter le pire, ou payer un gros montant uniquement si vous êtes victime de piratage ? Ah cette question qui fait drôlement penser aux assurances !

    En fait, les opinions peuvent différer et on respectera le choix des entreprises.

    Par contre, il faut mettre plusieurs éléments dans l’équation, pour prendre une bonne décision. Par exemple :

    • Vos clients : quel impact un piratage causant une interruption de service ou pire, un vol de données, peut avoir sur vos clients et sur vos relations futures ?
    • Le revenu généré par votre site : pouvez-vous vous permettre de vivre sans votre site pour quelques jours ?
    • La réputation, l’opinion publique : est-ce qu’un piratage pourrait avoir un effet extrêmement néfaste sur la confiance des gens envers votre entreprise et nuire à son succès futur ?

    Il y a beaucoup à prendre en compte!

    Comme la sécurité des sites se doit d’être une priorité pour les entreprises, Alexem Studio recommande fortement d’opter pour les forfaits les plus sécuritaires. Tout simplement. Mais bien sûr, on sera là pour vous si vous deviez recourir à nos services « après sinistre ».

    Sources

    Scroll to Top